Referência da configuração de LDAP

Este tópico fornece uma descrição de todas as opções de configuração relacionadas ao LDAP. O nome da opção especificada depende da ferramenta usada para configurar o LDAP:

  • configEntities: as opções são definidas com um arquivo JSON, conforme descrito em Entidade identityStore. Os valores inseridos como configEntites são validados antes de serem salvos.

  • tsm CLI: as opções são definidas com a ferramenta da linha de comando tsm, conforme descrito em tsm user-identity-store. Os valores inseridos como tsm CLI são validados antes de serem salvos.

  • configKey: as opções são definidas executando Opções do tsm configuration set. Como alternativa, eles podem ser incluídos em um arquivo de configuração JSON, conforme descrito em Exemplo de arquivo de configuração. Ao definir uma opção com uma configKey, o valor inserido é copiado diretamente para o arquivo de configuração .yml subjacente. O Tableau Server não valida o valor. Por esse motivo, recomenda-se o uso de configKeys somente quando não existir nenhuma opção para definir a configuração com configEntites, tsm CLI ou interface do usuário na Web do TSM.

Se estiver configurando o Tableau Server para usar o Active Directory, recomenda-se o uso da interface do usuário na Web do TSM para a instalação. A interface do usuário na Web do TSM é otimizada para configurar o Tableau Server para Active Directory com a entrada mínima necessária. Consulte Configurar as definições do nó inicial.

Considere usar a Ferramenta Configuração do repositório de identidades do Tableau para gerar o arquivo de configuração LDAP json. A Ferramenta de configuração do repositório de identidades do Tableau também vai gerar uma lista de pares chave/valor que você pode definir ao executar o Opções do tsm configuration set. A ferramenta em si não é compatível com o Tableau. Contudo, usar um arquivo JSON criado pela ferramenta em vez de criar um arquivo manualmente não altera o status compatível do seu servidor.

configEntities

(As opções diferenciam maiúsculas de minúsculas)

tsm CLI configKey Cenário

Observações

type N/A wgserver.authenticate AD, LDAP, Local

Onde deseja armazenar as informações da identidade do usuário. Valores: local ou activedirectory.

Caso deseje se conectar a qualquer servidor do LDAP, insira activedirectory.

sslPort N/A wgserver.domain.ssl_port AD, LDAP Use esta opção para especificar a porta segura do servidor LDAP. Recomendamos o LDAP seguro para associação simples. A porta do LDAPS normalmente é a 636.
port N/A wgserver.domain.port AD, LDAP Use esta opção para especificar a porta não segura do servidor LDAP. O plaintext normalmente é 389.
domain domain wgserver.domain.default AD, LDAP

Em ambientes Windows Active Directory, especifique o domínio em que o Tableau Server está instalado, por exemplo, "example.lan". Nos diretórios LDAP, especifique o nome do domínio raiz no mesmo formato. Por exemplo, se a raiz for "dc=my,dc=root", especifique "my.root".

Se a raiz não usar um componente dc, consulte a opção configEntity raiz abaixo.

tsm CLI: usa o comando tsm user-identity-store set-connection [options].

username ldapusername wgserver.domain.username AD, LDAP

O nome de usuário que deseja usar para se conectar ao serviço do diretório.

A conta especificada deve ter permissão para consultar o serviço do diretório.

Para o Active Directory, insira o nome de usuário, por exemplo, jsmith.

Para servidores LDAP, insira o nome diferenciado (DN) do usuário que deseja usar para se conectar. Por exemplo, "cn=jsmith,dc=example,dc=lan".

tsm CLI: usa o comando tsm user-identity-store set-connection [options].

password ldappassword wgserver.domain.password AD, LDAP

A senha da conta de usuário que será usada para conectar-se ao servidor LDAP.

tsm CLI: usa o comando tsm user-identity-store set-connection [options].

directoryServiceType N/A wgserver.domain.directoryservice.type AD, LDAP

O tipo de serviço de diretório de LDAP ao qual você deseja se conectar. Valores: activedirectory ou openldap.

kerberosPrincipal kerbprincipal wgserver.domain.ldap.principal AD, LDAP

O nome principal do servidor do Tableau Server na máquina do host. O keytab deve ter permissões para este principal. Não utilize um keytab existente do sistema. Em vez disso, recomendamos que você registre um novo nome principal do servidor. Para ver os principais em um determinado keytab, execute o comando klist -k. Consulte Saiba mais sobre os requisitos do Keytab..

tsm CLI: usa o comando tsm user-identity-store set-connection [options].

hostname hostname wgserver.domain.ldap.hostname AD, LDAP

O nome de host do servidor LDAP. Você pode inserir um nome de host ou endereço IP para este valor.

tsm CLI: usa o comando tsm user-identity-store set-connection [options].

membersRetrievalPageSize N/A wgserver.domain.ldap.members.retrieval.page.size AD, LDAP

Esta opção determina o número máximo de resultados retornados por uma consulta LDAP.

Por exemplo, considere um cenário em que o Tableau Server está importando um grupo LDAP que contém 50.000 usuários. Tentar importar um número de usuários tão grande em uma única operação não é uma prática recomendada Quando essa opção estiver definida como 1500, o Tableau Server importará os primeiros 1500 usuários na primeira resposta. Depois que esses usuários forem processados, o Tableau Server solicitará os próximos 1500 usuários do servidor LDAP e assim por diante.

Recomendamos modificar essa opção apenas para acomodar os requisitos do servidor LDAP

N/A N/A wgserver.domain.ldap.connectionpool.enabled AD, LDAP Quando estas opções estiverem definidas como true, o Tableau Server tentará reutilizar a mesma conexão ao enviar consultas para o servidor LDAP. Esse comportamento diminui a sobrecarga de uma nova autenticação com o servidor LDAP em cada nova solicitação. Os conjuntos de conexões funcionam apenas com conexões de associação simples e TLS/SSL. Os conjuntos de conexões não são suportados para conexões de associação GSSAPI.
kerberosConfig

kerbconfig

Nenhum mapeamento direto AD, LDAP

O caminho para o arquivo de configuração do Kerberos no computador local. Se você estiver instalando o Active Directory, não recomendamos usar o arquivo de configuração do Kerberos ou o arquivo keytab existente que já possa estar no PC unido pelo domínio. Consulte Repositório de identidades.

tsm CLI: usa o comando tsm user-identity-store set-connection [options].

kerberosKeytab kerbkeytab Nenhum mapeamento direto AD, LDAP

O caminho para o arquivo keytab do Kerberos no computador local. É recomendado criar um arquivo keytab com chaves especificas ao serviço do Tableau Server e que você não compartilhe o arquivo keytab com outros aplicativos do computador.

tsm CLI: usa o comando tsm user-identity-store set-connection [options].

nickname N/A wgserver.domain.nickname AD

O apelido do domínio. Isso também é chamado de nome NetBIOS nos ambientes do Windows/Active Directory. A opção nickname é necessária para todas as entidades LDAP. Se sua organização não exigir um apelido /NetBIOS, envie uma chave em branco, por exemplo: "".

root N/A wgserver.domain.ldap.root LDAP Se você não usar um componente dc na raiz do LDAP ou se quiser especificar uma raiz mais complexa, será necessário definir a raiz do LDAP. Use o formato "o=my,u=root". Por exemplo, para o domínio, example.lan, a raiz seria "o=example,u=lan".
serverSideSorting N/A wgserver.domain.ldap.server_side_sorting LDAP Se o servidor LDAP está configurado para classificação do lado do cliente dos resultados de consultas. Se o servidor LDAP for compatível com a classificação do lado do servidor, defina essa opção como true. Caso não tenha certeza de que seu servidor LDAP suporta essa classificação, insira false, pois uma configuração incorreta pode causar erros.
rangeRetrieval N/A wgserver.domain.ldap.range_retrieval LDAP Se o servidor LDAP está configurado para retornar um intervalo de resultados de consulta de uma solicitação. Isso significa que os grupos com muitos usuários serão solicitados em conjuntos pequenos, em vez de todos de uma vez. Os servidores LDAP que suportam uma recuperação abrangente terão melhor desempenho para consultas grandes. Se o servidor LDAP for compatível com a recuperação de intervalo, defina essa opção como true. Caso não tenha certeza de que seu servidor LDAP suporta essa classificação, insira false, pois uma configuração incorreta pode causar erros.
bind N/A wgserver.domain.ldap.bind LDAP A forma como deseja proteger a comunicação com o serviço de diretório. Insira simple para o LDAP, a não ser que esteja se conectando a um servidor LDAP com o Kerberos. Para o Kerberos, insira gssapi.
distinguishedNameAttribute N/A wgserver.domain.ldap.dnAttribute LDAP O atributo que armazena os nomes diferenciados de usuários. Este atributo é opcional, mas aprimora o desempenho das consultas do LDAP.
groupBaseDn basefilter wgserver.domain.ldap.group.baseDn LDAP

Use essa opção para especificar uma raiz alternativa para os grupos. Por exemplo, se todo o seu grupo estiver armazenado na organização base chamada "grupos", insira "o=groups".

tsm CLI: usa o comando tsm user-identity-store set-group-mappings [options].

N/A classnames wgserver.domain.ldap.group.classnames LDAP

Por padrão, o Tableau Server pesquisa por classe de objeto do grupo LDAP que contenham a cadeia de caracteres “group”. Se os objetos do grupo LDAP não correspondem com o nome de classe padrão, substitua o padrão configurando este valor. É possível fornecer vários nomes de classe separados por vírgulas.

Se os nomes dos grupos incluírem vírgulas, evite-as usando uma barra invertida (\). Por exemplo, se você tiver um nome de grupo, groupOfNames, top, insira "groupOfNames\, top".

tsm CLI: usa o comando tsm user-identity-store set-group-mappings [options].

groupBaseFilter N/A wgserver.domain.ldap.group.baseFilter LDAP

O filtro que deseja usar para os grupos de usuários do Tableau Server. É possível especificar um atributo de classe do objeto e um atributo de unidade organizacional. Por exemplo:

"(&(objectClass=groupofNames)(ou=Group))"

groupName groupname wgserver.domain.ldap.group.name LDAP

O atributo que corresponde aos nomes de grupo no servidor LDAP.

tsm CLI: usa o comando tsm user-identity-store set-group-mappings [options].

groupEmail groupemail wgserver.domain.ldap.group.email LDAP

O atributo que corresponde aos endereços de e-mail do grupo no servidor LDAP.

tsm CLI: usa o comando tsm user-identity-store set-group-mappings [options].

groupDescription description wgserver.domain.ldap.group.description LDAP

O atributo que corresponde às descrições de grupo no servidor LDAP.

tsm CLI: usa o comando tsm user-identity-store set-group-mappings [options].

member member wgserver.domain.ldap.group.member LDAP

Especifique o atributo LDAP que contém uma lista de nomes distintos de usuários que fazem parte desse grupo.

tsm CLI: usa o comando tsm user-identity-store set-group-mappings [options].

N/A N/A wgserver.domain.ldap.group.memberURL LDAP Especifique o nome do atributo LDAP que armazena a consulta de LDAP para grupos dinâmicos.
userBaseDn N/A wgserver.domain.ldap.user.baseDn LDAP Use essa opção para especificar uma raiz alternativa para os usuários. Por exemplo, se todos os usuários estiverem armazenados na organização base chamada "usuários", insira "o=users".
N/A classnames wgserver.domain.ldap.user.classnames LDAP

Por padrão, o Tableau Server pesquisa por classes de objeto do usuário LDAP que contenham a cadeia de caracteres “user” e “inetOrgPerson”. Se os objetos do usuário LDAP não usarem estes nomes de classe padrão, substitua o padrão configurando este valor. É possível fornecer vários nomes de classe separados por vírgulas. Por exemplo: "userclass1, userclass2".

Se os nomes incluírem vírgulas, evite-as usando uma barra invertida (\). Por exemplo, se você tiver um nome, Names, top, insira "Names\, top".

tsm CLI: usa o comando tsm user-identity-store set-user-mappings [options].

userBaseFilter basefilter wgserver.domain.ldap.user.baseFilter LDAP

O filtro que deseja usar para os usuários do Tableau Server. É possível especificar um atributo de classe do objeto e um atributo de unidade organizacional.

Por exemplo:

"(&(objectClass=inetOrgPerson)(ou=People))"

tsm CLI: usa o comando tsm user-identity-store set-user-mappings [options].

userUsername ldapusername wgserver.domain.ldap.user.username LDAP

O atributo que corresponde aos nomes de usuário no servidor LDAP.

tsm CLI: usa o comando tsm user-identity-store set-user-mappings [options].

userDisplayName displayname wgserver.domain.ldap.user.displayname LDAP

O atributo que corresponde aos nomes de exibição do usuário no servidor LDAP.

tsm CLI: usa o comando tsm user-identity-store set-user-mappings [options].

userEmail email wgserver.domain.ldap.user.email LDAP

O atributo que corresponde aos endereços de e-mail do usuário no servidor LDAP.

tsm CLI: usa o comando tsm user-identity-store set-user-mappings [options].

userCertificate certificado wgserver.domain.ldap.user.usercertificate LDAP

O atributo que corresponde aos certificados de usuário no servidor LDAP.

tsm CLI: usa o comando tsm user-identity-store set-user-mappings [options].

N/A miniatura wgserver.domain.ldap.user.thumbnail LDAP

O atributo que corresponde às imagens em miniatura do usuário no servidor LDAP.

tsm CLI: usa o comando tsm user-identity-store set-user-mappings [options].

userJpegPhoto jpegphoto wgserver.domain.ldap.user.jpegphoto LDAP

O atributo que corresponde às imagens de perfil do usuário no servidor LDAP.

tsm CLI: usa o comando tsm user-identity-store set-user-mappings [options].

memberOf memberof wgserver.domain.ldap.user.memberof LDAP

Grupo do qual o usuário é um membro.

tsm CLI: usa o comando tsm user-identity-store set-user-mappings [options].

configKeys calculadas

As seguintes configKeys relacionadas ao Kerberos são calculadas e definidas de acordo com várias entradas do ambiente. Por exemplo, elas devem ser definidas por CLI ou configEnties. Não tente configurar essas configKeys manualmente.

configKey calculadas Para usar a CLI do TSM: Para usar configEntity json:

wgserver.domain.ldap.kerberos.conf,

cfs.ldap.kerberos.conf

Defina o local do arquivo de configuração Kerberos com a opção kerbconfig do comando tsm user-identity-store set-connection [options].

Defina o local do arquivo de configuração do Kerberos com a opção configEntity kerberosConfig.

wgserver.domain.ldap.kerberos.keytab,

cfs.ldap.kerberos.keytab

Defina o local do arquivo keytab do Kerberos com a opção kerbkeytab do comando tsm user-identity-store set-connection [options]. Defina o local do arquivo keytab do Kerberos com a opção configEntity kerberosKeytab.

configKeys não suportadas

Algumas configKeys não suportadas estão presentes nos arquivos de configuração YAML subjacentes. As chaves a seguir não são destinadas a implantações padrão. Não configure estas chaves:

  • wgserver.domain.ldap.kerberos.login
  • wgserver.domain.ldap.guid
  • wgserver.domain.fqdn

 

Obrigado pelo feedback! Ocorreu um erro ao enviar seu feedback. Tente novamente ou envie-nos uma mensagem..